新的 Excel 漏洞使 120 亿用户面临风险

安全研究人员在 Microsoft Excel 中发现了一个新漏洞，可能会使超过 120 亿用户面临风险。 该漏洞是由安全公司 Mimecast Services Ltd 的研究人员发现的。

该漏洞利用了 Excel 中的 Power Query 功能，该功能允许用户从其他来源提取数据。 Mimecast Services Ltd 的研究人员发表了一篇 博客文章 (通过 SiliconANGLE) 解释漏洞如何被黑客利用。 该漏洞将允许黑客使用 Power Query 对 Excel 电子表格发起远程动态数据交换攻击。 不仅如此，该漏洞还将允许黑客发起更复杂的攻击，这些攻击涉及恶意软件，一旦打开电子表格，就会破坏用户的机器。

该功能提供了如此丰富的控制，甚至可以在交付任何有效负载之前对沙箱或受害者的机器进行指纹识别。 攻击者具有潜在的预载荷和预利用控制，可以向受害者提供恶意载荷，同时使文件对沙箱或其他安全解决方案看起来无害。

好消息是微软已经知道这个漏洞并且确实在 2017年 十一月. 该公告指出，用户需要点击几个安全警告才能将恶意软件安装到他们的系统上。 微软还建议用户在不使用时禁用 DDE 功能以阻止外部数据连接。

Mimecast 强烈建议所有 Microsoft Excel 客户实施 Microsoft 建议的解决方法，因为对这些 Microsoft 用户的潜在威胁是真实存在的，并且该漏洞利用可能具有破坏性。

好消息是没有关于该漏洞在野外被利用的报告。 然而，坏消息是 DDE 功能通常默认启用，用户在不使用时可能不会将其关闭。 Mimecast 的首席科学家 Meni Farjon 指出，目前尚不清楚有多少组织遵循微软早先的建议，并表示“许多组织不太可能禁用它。”

截至目前，微软刚刚发布了一份公告，并依靠用户采取适当的行动。 现在明智的做法是禁用 DDE 功能，并且不要下载和打开通过电子邮件发送的电子表格。 最后但并非最不重要的一点是，请确保您不要忽略 Excel 的任何安全提示，因为这些提示可能会警告您有关潜在恶意软件的信息。